BAZA ZNANJA

Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Implementacija sigurnosti koristeći grupne polise

Autor: Test Instruktor

Naziv jedinice: Konfiguracija sigurnosti u domenu koristeći grupne polise

Jedan od najbitnijih administrativnih zadataka koji se odnose na upravljanje desktopom i upravljanje serverom je konfiguracija i održavanje sigurnosti. Održavanje konstantne konfiguracije sigurnosti na hiljadama kompjutera unutar velike organizacije je skoro nemoguće bez nekog tipa centralnog upravljanja. Možemo iskoristiti grupne polise za centralno upravljanje postavkama na nivou domena, za upravljanje postavkama na nivou servera i za upravljanje sigurnosnih postavki za mrežnu komunikaciju. U ovom modulu saznaćete kako možete da iskoristite grupne polise za konfiguraciju i izgradnju sigurnosnih postavki.

U toku instalacije aktivnog direktorijuma AD DS-a, dva defoltna objekta grupne polise se automatski kreiraju radi izgradnje defoltnog nivoa sigurnosne konfiguracije za domen i za domenske kontrolere unutar okruženja. U ovoj lekciji saznaćete koje su sigurnosne postavke konfigurisane untar ovih defoltnih objekata grupnih polisa.

Predstavljanje Default Domain Polise (defoltne domenske polise)

Default Domain Policy je objekat grupne polise koji nudi inicijalne sigurnosne postavke za ceo domen. Ove inicijalne sigurnosne postavke se specijalno odnose na polise za naloge (Account Policies) i čvorove lokalnih polisa koji se nalaze ispod Computer Configuration-       -Windows Settings-Security Settings kontejnera.

Account Policies (polise za naloge)

Account Policies sekcija uključuje tri kategorije: Password Policy, Account Lockout Policy i Kerberos Policy. Ove polise, izuzev Kerberos polise, primenjuju se na sve korisnike u domenu, bez obzira na tip radne stanice sa koje se korisnici prijavljuju na domen. Kerberos Policy postavke se postavljaju samo na kompjutere koji su članovi domena i koji rade na Windows 2000, Windows XP Professional, Windows Server 2003-2008, i Bussines & Enterprise verzije Windows Vista-e.

Password Policy (polise za lozinke): Konfiguracine opcije u Password Policy sadrže Domain-wide postavke za Password History (istoriju lozinki), trajanje lozinki, dužina lozinki i kompleksnost lozinki. U sledećoj tabeli se nalaze postavke za lozinke:

 Tabela 25.1

Account Lockout Policy (polise za zaključavanje naloga): Account Lockout Policy konfiguracione opcije sadrže postavke koje definišu koliko će vremena zaključani nalog ostati zaključan, i nakon koliko neuspešnih pokušaja Log-ovanja će sistem zaključati nalog kao i resetovanje brojača za Account Lockout. U sledećoj tabeli su opisane postavke za zaključavanje naloga:

 
Tabela 25.2

Account Policy koje su konfigurisane unutar Default Domain Policy obejkta grupne polise (GPO) utiču na sve korisnike i kompjutere u domenu. Moguće je kreirati prilagođeni objekat grupne polise u kom su konfigurisane postavke naloga (Account Settings) i povezati taj GPO na određenu organizacionu jedinicu. Ipak, konfigurisane postavke neće imati uticaja na korisnike koji se Log-uju u domen. Ako ipak konfigurišemo polise za naloge u specifičnom objektu grupne polise i zakačimo ga na određenu organizacionu jedinicu, postavke će se primenjivati samo na Local Security Database za kompjutere koji se nalaze u toj organizacionoj jedinici. Kada se postavke za naloge konfigurišu na nivou organizacione jedinice, one će se primenjivati samo na korisnike koji se lokalno prijavljuju na kompjuter. Kada se korisnik prijavi u domen, defoltna domenska polisa (Default Domain Policy GPO) briše Local Policy Settings (postavke lokalnih polisa).

Lokalne polise (Local Policies)

Local Policies sekcija kontroliše Local Security Settings (postavke za lokalnu sigurnost) za kompjutere koji se nalaze unutar Scope-a GPO. Ove sigurnosne postavke uključuju sledeće:

• Audit Policy: Ovaj čvor se koristi za podešavanje Audit postavki. Možemo da podesimo Audit polise za opcije kao što su: Account Management aktivnosti, događaji koji se odnose na Log-ovanje, promene polisa, privilegovano korišćenje i događaje koji su se desili u sistemu.
  
  
• User Rights Assigment: Ovaj čvor se koristi za konfiguraciju prava koja želimo da dodelimo korisnicima koji se prijavljuju na kompjutere koji su pod uticajem te polise. Možemo da podešavamo različite postavke, uključujući ko može da odradi akcije u sistemu kao što su: Log-ovanje na kompjuter lokalno, pristupanje kompjuteru preko mreže, Backup-ovanje File-ova i foldera, Log-ovanje servisa itd.
  
  
• Security Options: Ovaj čvor se koristi za konfiguraciju sigurnosnih opcija za kompjutere koji su pod uticajem ove polise. Možemo da konfigurišemo opcije kao što su: promena imena naloga lokalnog administratora i naloga Guest, upravljanje ko može da instalira Driver-e za printere, kontrolisanje da li nepotpisani Driver-i mogu da se instaliraju i kontrolisanje kako se upravlja User Account Control-om na kompjuterima.
  
  
  

Default Domain Policy sadrži samo mali set postavki koje su definisane u Local Policy čvoru. Ove defoltne postavke se mogu pronaći u Computer Configuration-Policies-Windows Settings-Security Settings-Local Policies-Security Options čvoru. Ove postavke uključuju sledeće:

• Network Access: Allow anonymous SID-Name translation: Ova postavka je definisana i onemogućena je po defoltu. Ako omogućimo ovu polisu, anonimni korisnik će moći da zatraži SID informacije o drugom korisniku i nakon toga moći će da iskoristi SID da bi dobio ime korisnika. Ovo bi mogao da predstavlja sigurnosni problem i može da dovede do otkrivanja kritičnih informacija o administrativnim nalozima.
• Network Security: Do not store LAN Manager hash value on next password change: Ova postavka je definisana i omogućena po defoltu. Ova postavka je omogućena da bi povećala sigurnost i da se ne bi koristio LM Hash za smeštanje informacija o lozinkama. Postavka može da utiče na mogućnost komunikacije sa kompjuterima koji rade na Windows 95 & Windows 98 sistemima.
• Network security: Force logoff when logon hours expire: Ova postavka je definisana i onemogućena po defoltu. Postavku koristimo kada želimo da diskonektujemo korisnike koji su konektovani na lokalni kompjuter nakon isteka validnih Logon sati. Ako je polisa onemogućena (onemogućena je po defoltu) uspostavljene klijentske  sesije će biti dozvoljene i nakon isteka validnih Logon sati.
  
  
  

Potrebno je upamtiti da će svaka postavka koja je konfigurisana na nivou domena imati uticaja na sve kompjutere koji se nalaze unutar domena.

Predstavljanje Default Domain Controllers Polise

Default Domain Controllers Policy GPO nudi konfigurisane inicijalne sigurnosne postavke za sve domenske kontrolere koji se nalaze u Domain Controllers organizacionoj jedinici. Ovaj objekat grupne polise (GPO) nudi sigurnosne postavke koje se odnose na dodeljivanje korisničkih prava (User Rights Assignment) i na čvor Security Options koji se može pronaći ispod Computer Configuration-Policies-Windows Settings-Security Settings-Local Policies.

User Rights Assignment (dodeljivanje korisničkih prava): User Rights Assignment definiše koji nalozi mogu da odrade specifične zadatke na kompjuteru. Na primer, ako želimo da dodelimo pravo korisniku ili sigurnosnoj grupi da bude u mogućnosti da se lokalno Loguju na domenski kontroler, tu mogućnost možemo da konfigurišemo koristeći ovaj čvor.